-
hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEM
– en introduktion
Daniel Goldberg och Linus Larsson
It-säkerhet för privatpersoner
-
– en introduktion
Daniel Goldberg och Linus Larsson
It-säkerhet för privatpersoner
-
Organisationsnummer: 802405-0190Besöksadress: Ringvägen 100 A, 9
tr, StockholmBrevledes på .SE Box 7399, 103 91 StockholmTelefon:
+46 8 452 35 00. Fax: +46 8 452 35 02E-post: [email protected]
www.iis.se
IT-säkerhet för privatpersoner.SE:s Internetguide, nr 30Version
1.0 2013Daniel Goldberg och Linus LarssonTexten skyddas enligt lag
om upphovsrätt och tillhanda-hålls med licensen Creative Commons
Erkännande 2.5 Sve-rige vars licensvillkor återfinns på
creativecommons.org, för närvarande på sidan
creativecommons.org/licenses/by/2.5/se/legalcode.
Illustrationerna skyddas enligt lag om upphovsrätt och
tillhan-dahålls med licensen Creative Commons
Erkännande-Icke-Kommersiell-IngaBearbetningar 2.5 Sverige vars
licensvillkor återfinns på creativecommons.org, för närvarande på
sidan creativecommons.org/licenses/by-nc-nd/2.5/se/legalcode.
Vid bearbetning av verket ska .SE:s logotyper och .SE:s
gra-fiska element avlägsnas från den bearbetade versionen. De
skyddas enligt lag och omfattas inte av Creative Commons-licensen
enligt ovan.
.SE klimatkompenserar för sina koldioxidutsläpp och stödjer
klimatinitiativet ZeroMission. Se www.zeromission.se för mer
information om ZeroMission.
Författare: Daniel Goldberg och Linus LarssonRedaktör: Hasse
NilssonProjektledare: Jessica BäckFormgivning:
BedowOmslagsillustration: Camilla AtterbyFörsta upplagan.Tack till:
Anne-Marie Eklund-Löwinder, .SE och Myndig-heten för samhällsskydd
och beredskap, MSB.ISBN: 978-91-87437-05-2
.SE (Stiftelsen för Internetinfrastruktur) ansvarar för
Internets svenska toppdomän. .SE är en oberoende allmän-nyttig
organisation som verkar för en positiv utveckling av Internet i
Sverige.
Alla .SE:s InternetguiderDu hittar alla .SE:s utgivna
Internetguider på www.iis.se/guider. Du kan beställa en
prenumeration på nyutgivna guider genom att skicka namn och adress
till [email protected].
http://www.zeromission.se%20
-
Innehåll
förord 041. inledning 052. virus, trojaner och maskar 06 2.1
Olika typer – samma syfte 06 2.2 Virus 07 2.3 Trojaner 07 2.4
Maskar 08 2.5 Vad kan de ställa till med? 09 2.6 Hur blir du
infekterad? 10 2.7 Social ingenjörskonst 10 2.8 Säkerhetsluckor 10
2.9 Om du inte letade efter ett program, installera det inte 12
2.10 Om du har installerat det, uppdatera det 12 2.11 Om du inte
behöver programmet, avinstallera det 12 2.12 Hur upptäcker man att
man är infekterad? 13 2.13 Uppdatera, uppdatera, uppdatera 143.
nätfiske och den okända avsändaren 15 3.1 Din vän kan vara vem som
helst 16 3.2 Att fejka en avsändare är ingen konst 184. trådlösa
nätverk 21 4.1 När det går riktigt illa 21 4.2 Så skyddar du
nätverket 23 4.3 Publika nätverk 24 4.4 Proffskryptering med VPN
255. lösenord och tvåfaktorsinloggning 27 5.1 Att välja ett bra
lösenord 27 5.2 Så knäcks ett lösenord 29 5.3 Samma lösenord
överallt? 31 5.4 Programmen som hjälper dig 32 5.5 Två faktorer –
framtidens inloggning 326. e-post är som vykort 36 6.1 Kryptering
– säkert men lite krångligt 37 6.2 Tre enkla
krypteringsverktyg 407. så skyddar du dina pengar 45 7.1 Nätbanken
– viktigast av allt 45 7.2 Kontokortet – bedragarens favorit 47 7.3
Skimming, den gamla tidens kortbedrägeri 47
-
7.4 Den hackade e-handlaren 48 7.5 Betaltjänster – en (lite)
tryggare mellanhand 49 7.6 Men jag får väl tillbaka pengarna? 498.
mobilen – nästa säkerhetsarena 52 8.1 Så ser hoten ut 52 8.2 Olika
plattformar, olika risker 54 8.3 Så skyddar du dig 559. att radera
på riktigt 58 9.1 Enkelt återskapa borttagna filer 58 9.2 Så sopar
du undan spåren 59 9.3 Stulna telefoner – en guldgruva för tjuven
60 9.4 Så tömmer du din mobiltelefon 61 9.5 Töm telefonen på
avstånd 6310. ställ krav! 65 10.1 Hur lagras mitt lösenord? 65 10.2
Hur lagras mina filer? 66 10.3 Vad händer med min information?
6711. ordlista 6812. länkar 74
-
5
förord
Förord
Aldrig har it-säkerhet varit ett lika omtalat ämne som idag.
Vecka efter vecka fylls löp-sedlarna av nyheter om stulna lösenord,
manipulerade bankomater och övervak-ningsskandaler. Varningsbrev
från våra banker om illasinnade datorvirus, utfor-made för att i
tysthet stjäla våra sparpeng-ar, hör till vardagen. Kapade
Facebook- och Twitterkonton likaså.
Inte undra på att många blir oroliga. Hur vet man att de filer
som finns lagrade på ens dator inte kan läsas av någon an-nan? Hur
vet man att ens e-postkonto inte får oväntat besök av en illasinnad
angri-pare? Och kan man verkligen lita på att ens pengar är säkra
hos nätbanken? Vågar man ge sig ut på nätet över huvud taget?
Det är för att ge svar på sådana frågor som vi har skrivit den
här guiden som är till för att lära dig grunderna i hur man håller
sig säker i den digitala världen. Vi bjuder på matnyttiga tips om
enkla åtgärder för att hålla din e-post, ditt Facebookkonto och
dina bankuppgifter i säkert förvar. Vi för-klarar hur saker och
ting fungerar och går igenom till synes knepiga ord och
förkort-ningar som “kryptering”, “ssl” och “fabrikså-terställning”.
Vi ger dig också en inblick i vad som faktiskt händer bakom skärmen
och tangentbordet när du knappar in ett lösenord eller loggar in på
din nätbank.
Innhåller i den här guiden kräver inte särskilda förkunskaper.
Vi har ansträngt oss för att göra den så lättläst som det bara går.
För den oinvigde kan it-säkerhet kän-nas som ett ogenomträngligt
komplicerat ämne. I själva verket är det inte alls särskilt svårt
att få en känsla för hur allt hänger ihop. Om du klarar av att slå
på en dator, ge dig ut på webben och logga in på ett
Face-book-konto bör du inte ha några som helst problem att ta dig
igenom den här guiden. När du läst klart är vår förhoppning att du
ska kunna ge dig ut på nätet trygg i vetska-pen om vilka faror som
finns där ute, och hur man bäst skyddar sig från att råka illa ut.
Med ett par enkla handgrepp går det att göra sig immun mot de
vanligast förekom-mande hoten, och som i de allra flesta
sam-manhang räcker en skopa eftertänksamhet och sunt förnuft
långt.
Daniel Goldberg och Linus LarssonStockholm, September 2013
-
6
kapitel 1: inledning
01 Inledning
De kommande 67 sidorna är uppdelade i sammanlagt tio olika
kapitel. I vart och ett av dem går vi igenom ett särskilt
ämnesområde och ger handfasta tips på smarta tillvägagångssätt. Är
du intres-serad av något särskilt så bläddra gärna direkt till det
kapitel som passar bäst, men för dig som vill ha en grundläggan-de
teknisk genomgång rekommenderar vi att börja med kapitel 2 och
kapitel 3. I dem förklarar vi några vanligt förekom-mande begrepp
som även används sena-re i texten. I kapitel 10 ger vi dessutom
tips på lämpliga frågor att ställa till det eller de företag du
väljer att samarbeta med på nätet, något som blir allt vanli-gare i
takt med att vi lägger vår e-post, vår kommunikation och våra filer
i hän-derna på internetföretag som Google, Facebook och
Microsoft.
Sist i guiden följer en ordlista, där vi förklarar vanligt
förekommande termer och förkortningar. Använd den gärna
som en lathund, eller ta chansen att im-ponera på dina mer
tekniskt kunniga vänner.
Vår ambition har varit att texten du håller i din hand ska vara
lärorik, intres-sant och lättläst, men också betryggande. Visst
finns det många fallgropar att vara vaksam på, och visst kan man
aldrig lita hundraprocentigt på att en okänd angri-pare inte
upptäckt nya svagheter att ut-nyttja för att komma åt ens
hemligheter. Men det betyder inte att man ska sluta använda sig av
datorer.
Nätet och den digitala tekniken för med sig fantastiska
möjligheter för oss alla. Gi-vetvis ska man inte vara rädd för att
dra nytta av dem. Det gäller bara att, precis som i vilket annat
sammanhang som helst, göra sig medveten om riskerna och se till att
skydda sig så gott det går.
-
7
kapitel 2: virus, trojaner och maskar
02 Virus, trojaner och maskar
Datorvirus har funnits i årtionden och är bland de mest
mytomspunna företeel-serna i it-säkerhetsvärlden. I otaliga fil-mer
och tv-serier har de framställts som datorvärldens monster, en
slags ondsinta varelser som på egen hand kan sprida sig från dator
till dator och ställa till problem. Som om de hade en egen
vilja.
Verkligheten är, som så ofta, lite min-dre dramatisk. Men vad
som stämmer är att datorvirus mycket riktigt kan ställa till med
rejäl skada.
Först några ord för att undvika be-greppsförvirring. Ordet
datorvirus an-vänds ofta, lite slarvigt, som benämning på alla
typer av skadlig kod. Det är vanligt inte minst i tidningarnas
rubriker. Men faktum är att verkliga virus har försvunnit nästan
helt. Istället har andra, liknande typer tagit över, till exempel
trojaner och maskar. Här ska vi gå igenom hur de skil-jer sig från
varandra. Därför kommer vi att använda “skadlig kod” som
sammanfat-
tande benämning, en översättning av de engelska begreppen
“malware” och ”mali-cious code”.
2.1 Olika typer – samma syfteMan ska inte blanda ihop virus,
trojaner och maskar som om de vore samma sak. Rent tekniskt skiljer
de sig rejält från var-andra. De sprids på olika sätt och kräver
olika mycket resurser att utveckla. Dä-remot har de mycket
gemensamt. Alla utnyttjar de säkerhetshål i din dator för att lura
sig in och ta kontroll över den. Väl inne försöker de ofta göra två
saker: Utnyttja din dator för att sprida sig själva vidare till
andra, eller utnyttja din dator för sina egna syften. Oftast
handlar det i slutändan om att tjäna eller stjäla pengar. Senare i
kapitlet går vi igenom hur det går till i närmare detalj.
Här följer kortfattade beskrivningar av de tre vanligaste
typerna av skadlig kod: virus, trojaner och maskar.
-
8
kapitel 2: virus, trojaner och maskar
2.2 VirusAtt datorvirus kallas som de gör är ingen slump. De
beter sig nämligen på ett sätt som påminner om virus i naturen,
trots att de är skapade av programmerare.
Datorvirus “infekterar” ett program ge-nom att hänga sig fast
vid det, ungefär som naturens virus angriper ett djurs eller en
människas kropp. När datorn är infekte-rad kan information på
hårddisken rade-ras, avlyssnas eller ändras. Dessutom kan viruset
utnyttja datorns beräkningskraft utan att användaren märker det.
Många av de tidiga exemplen på virus tycktes vara skapade av
personer som mest ville visa upp hur skickliga programmerare de
var. Därför gjorde vissa av dem ingen skada på den infekterade
datorn. Sådana virus har dock blivit mindre vanliga med tiden.
Verkliga virus är mycket komplicerade att programmera ihop.
Dessutom har antivirusprogrammen blivit skickligare på att upptäcka
dem. Det har fått kriminella att överge virus till förmån för de
andra typerna av skadlig kod, framförallt troja-ner och maskar.
2.3 Trojaner Trojaner har fått sitt namn efter legenden om den
trojanska hästen. Där gömde sig grekerna inne i en trähäst för att
lura sig
in i staden Troja. Trojanen lurar sig in på datorn på ett
liknande sätt, ofta dolda i ett annat program eller i en fil.
Till skillnad från virus, som infekterar vanliga program, kan
trojanen existera helt för sig själv. Men det som har fått
kri-minella att välja trojaner framför virus är framförallt en sak:
De är enklare att pro-grammera och väl så effektiva.
När en trojan har fått fäste på ens dator kan den användas för
en hel del. Till ex-empel kan den avlyssna det du skriver på
tangentbordet för att komma över dina lösenord, kontokortsnummer
eller an-nan känslig information. Informationen som snappas upp kan
skickas vidare till personen som styr trojanen – helt utan att du
märker det.
En annan vanlig funktion är att en in-fekterad dator kan kapas
och fjärrstyras. Det kallas ofta att den ingår i ett botnät (där
bot är en förkortning av robot), det vill säga ett stort nätverk av
kapade da-torer som kontrolleras av en person eller grupp. Ett
omfattande botnät är värt stora pengar. Det kan exempelvis användas
för att skicka ut gigantiska mängder oönskad reklam,
bedrägeriförsök via e-post, eller rikta överbelastningsattacker mot
webb-platser. En sådan går ut på att mängder med infekterade
datorer på kommando
-
9
börjar skicka skräpinformation mot en webbplats, tills den inte
klarar av mer och slutar fungera. Tänk själv vilken makt det skulle
innebära om man kunde få tiotu-sentals datorer att utföra nästan
vilken handling som helst på kommando.
Trojaner brukar ha fantasifulla namn och benämningar, Haxdoor
eller Zeus för att ta två vanliga exempel. Namnen har antingen
bestämts av trojanens skapare, eller kommer från antivirusföretaget
som upptäckte dem.
2.4 MaskarTill skillnad från virus är maskar fristående program
som inte behöver infektera en viss fil för att infektera en dator.
Namnet kom-mer från dess förmåga att sprida sig själv – man brukar
säga att masken kryper sig fram mot nya datorer att ta kontroll
över.
Olika maskar tar sig fram på olika sätt. Vissa kan kopiera sig
över ett nätverk, andra lägger sig på usb-minnen som flyttas mellan
datorer och en tredje typ sprider sig genom att själv börja skicka
e-postmeddelanden från den dator den har tagit över.
När en mask har infekterat en dator kan den göra ungefär samma
skada som en trojan. Men genom åren har det också dykt upp maskar
utan tydligt syfte – allt de verkar göra är att sprida sig vidare
och
ta över fler datorer. Ändå har de ställt till rejäl skada
eftersom de sprider sig med sådan fart att de tynger nätverk och
över-belastar e-postservrar.
2.5 Vad kan de ställa till med?En dator som har infekterats av
en trojan, en mask eller ett virus fortsätter ofta fung-era som om
ingenting hade hänt. Möjligt-vis går den lite långsammare än
tidigare eftersom datorns prestanda och uppkopp-ling till nätet
används till annat än vad du sysslar med. Så vad är då
problemet?
En hel del, och inte bara för dig själv. Vi nämnde tidigare att
tangentbordet kan avlyssnas. Det är något av en standard-funktion i
moderna trojaner, och den kan anpassas för speciella syften. Till
exempel kan den reagera när du får upp ett inlogg-ningsformulär på
skärmen. När du knap-par in användarnamn och lösenord snap-pas de
upp och skickas vidare till den som kontrollerar trojanen.
Mest eftertraktade är de lösenord som angriparen kan använda för
att tjäna pengar, till exempel inloggning på konton som Paypal
eller andra som är kopplade till ett kontokort. Även internetbanker
har drabbats av den här typen av inloggning, framförallt på den
tiden då engångskoder på plastbrickor (så kallade skrapkoder)
an-
kapitel 2: virus, trojaner och maskar
-
10
vändes för att logga in. I dag har bankerna börjat ta säkerheten
på större allvar och det krävs mer avancerade trojaner för att
stjäla pengar. Se kapitel 7: "Så skyddar du dina pengar", för en
närmare beskrivning.
Men datorer som har kapats med troja-ner används inte bara för
att komma över ägarens konton och känsliga information. En
angripare kan också vilja utnyttja din dator för helt andra syften.
Ett är utskick av skräppost. Sådana utskick förenklas med tillgång
till ett par tusen (eller ännu fler) kapade datorer, eftersom
källan blir svårare att spåra.
Om du skulle drabbas av en trojan är det möjligt att du inte ens
själv märker det. Men i bakgrunden pågår handlingar som du
troligtvis inte vill ha något att göra med.
2.6 Hur blir du infekterad?För att smyga in en trojan eller mask
på din dator måste angriparen ta till speci-ella metoder. De kan se
mycket olika ut, men har alla en sak gemensam: Antingen lurar de
din dator eller så lurar de dig. Att lura din dator innebär att
angriparen känner till en säkerhetslucka i till exem-pel Windows
som hen kan utnyttja. Att lura dig är precis vad det låter som. Det
kallas social ingenjörskonst och är minst lika effektivt.
2.7 Social ingenjörskonstNär du sitter vid din dator, inloggad
med rätt lösenord och därmed med full till-gång till alla
funktioner kan du själv ställa till en hel del skada. I sig är det
helt i sin ordning – du ska ju kunna radera filer, installera
program och till och med fjärr-styra din egen dator.
Men det för också med sig en fara. Om en angripare kan lura dig
att utföra en handling är det som om hen satt vid tang-entbordet
själv. Många har begripit att det är enklare att lura personen vid
datorn än att hacka själva datorn.
E-postmeddelanden med falsk avsän-dare är en variant av social
ingenjörskonst. Ibland är de utformade för att se ut att ha en bank
som avsändare. Andra gånger an-vänder de formuleringar som
angriparen förstår att mottagaren kommer att ha svårt att
motstå.
2.8 SäkerhetsluckorÄven om social ingenjörskonst är effektiv så
utnyttjar bedragare också rent tekniska svagheter i program och
operativsystem för att plantera trojaner och föra in mas-kar. Inför
sådana hot vilar det största an-svaret på företagen som utvecklar
opera-tivsystemen och programmen. Men som vanlig användare finns
det ett par nöd-
kapitel 2: virus, trojaner och maskar
-
11
Överkurs!E-postmasken som blev filmEtt tidigt exempel är
e-postmasken ILOVEY-OU (ibland kallat Love Letter) som började
sprida sig på nätet år 2000. Det spreds genom ett mejl med
ämnesraden “ILOVEYOU” och en bifogad fil som såg ut att vara ett
kärleks-brev. Men när man klickade på filen installe-rade man
istället den skadliga koden. Därefter plockade masken fram ens
kontaktlista i e-postprogrammet och skickade sig själv vidare till
de 50 första adresserna. Med andra ord spreds ILOVEYOU från vän
till vän. Inte kon-stigt att många gick på bluffen – det såg ju ut
att vara ett kärleksbrev från någon de kände. Tiotals miljoner
datorer infekterades innan masken kunde stoppas.
Exemplet är gammalt, men bedragare an-vänder fortfarande metoder
som bygger på samma princip: Locka med någonting motta-garen har
svårt att stå emot (sex eller pengar, ofta i form av lotterivinster
är två favoriter) och lägg till en uppmaning att klicka på en fil
eller besöka en webbadress.
Just masken ILOVEYOU har gått till histo-rien även av andra
anledningar. År 2011 förevi-gades historien om den i den romantiska
thril-lern “Subject: I love you”.
E-post är inte det enda sättet att sprida skadlig kod. Samma
trick har börjat använ-das på sociala medier i takt med att
använ-darna har flyttat dit. Förbluffande ofta an-vänder angriparna
till och med telefonen. En bedrägerimetod går ut på att någon
ringer upp och utger sig för att vara supportper-sonal, ofta från
Microsoft. Därefter lotsas användaren genom åtgärder på datorn som
i själva verket innebär att hen lämnar ifrån sig känslig
information som inloggnings- och bankuppgifter.
Det är svårt att helt skydda sig från social ingenjörskonst. Då
och då måste man trots allt lita på en avsändare. Men du kommer en
bit på vägen med två grundregler.
→ För det första – om det låter för bra för att vara sant så är
det förmodligen så. Nej, du har inte vunnit stora pengar på ett
lotteri du inte har deltagit i. → För det andra – seriösa företag
använder aldrig e-post för att sprida uppdateringar till din dator.
Dubbelkolla med källan, läs på den officiella hemsidan eller ring
och fråga om du är osäker. Du kan också an-vända Google för att
söka på formulering-ar i ett mejl. Ofta har någon annan redan
skrivit om bluffen.
kapitel 2: virus, trojaner och maskar
-
12
vändiga åtgärder som man måste vidta.Följande tre råd är en bra
grund för var-
daglig it-säkerhet. De kommer ursprung-ligen från Brian Krebs
som är en välkänd skribent inom it-säkerhet.
2.9 Om du inte letade efter ett program, installera det
inteSurfar du runt på måfå och plötsligt får upp ett fönster som
uppmanar dig att rensa din dator? Kanske ett fejkat meddelande om
att du har fått virus som måste tas bort? Eller löften om bättre
kvalitet på strömmad film?
I sådana lägen ska man direkt stänga fönstret utan att
installera något pro-gram. Med stor sannolikhet rör det sig om en
ren bluff. Programmet kommer inte utföra vad det utlovar. Det
kommer kan-ske kräva dig på pengar och kan mycket väl installera
skadlig kod på din dator, just det som programmet lovar att rensa
bort.
Så tänk efter innan du installerar ett program: Letade jag efter
just det här? Om inte, hur gick det till när det hamnade på min
skärm?
2.10 Om du har installerat det, uppdatera detNya säkerhetshål
upptäcks hela tiden. Det gäller både operativsystem som Windows
eller Mac OS och enskilda program. Det
har mjukvaruföretagen insett och därför skickar de regelbundet
ut uppdateringar som täpper till luckorna, förhoppningsvis innan
kriminella kan utnyttja dem.
Sådana uppdateringar är gratis och ska installeras så snart de
finns tillgäng-liga. Visst kan det kännas tröttsamt med ständiga
meddelanden om uppdateringar, men se till att omedelbart installera
åt-minstone de som handlar om säkerhet. Det finns gott om exempel
på vad som kan hända annars. För några år sedan var pdf-filer bland
de mest populära för att infektera datorer med trojaner. Det kunde
ske på grund av ett säkerhetshål i Adobe Reader, programmet som
många använder för att läsa pdf-filerna. Adobe fick kritik för att
företaget dröjde med att släppa lagningar, men även när de fanns
tillgängliga så kunde attackerna fortsätta eftersom inte alla
uppdaterade.
I dag har de flesta program funktioner som automatiskt
kontrollerar om det finns uppdateringar tillgängliga. Se till att
aktivera den!
2.11 Om du inte behöver programmet, avinstallera detVarje
installerat program är en potentiell genväg in till din dator. Ju
färre program du har installerade desto svårare blir det
kapitel 2: virus, trojaner och maskar
-
13
2.12 Hur upptäcker man att man är infekterad?Skapare av trojaner
och maskar lägger ner ofantliga resurser på att hålla sina program
osynliga efter att de har infek-terat en dator. Därför är det
mycket svårt att upptäcka dem på egen hand som van-lig
användare.
Det är här antivirusprogram kommer in i bilden. De använder ett
par metoder för att upptäcka skadlig kod. Dels inne-håller de en
lista med “signaturer”, som kan liknas vid den skadliga kodens
fing-eravtryck. Genom att jämföra datorns fi-ler med signaturerna
kan man upptäcka skadlig kod, och förhoppningsvis ta bort den.
Dessutom spanar den efter program som beter sig märkligt i största
allmän-het, eftersom det kan vara ett tecken på infektion.
Förutom att granska filer på hårddis-ken brukar
antivirusprogrammen block-era falska webbsidor som försöker stjäla
dina uppgifter och kontrollera inkom-mande e-post. Därför
marknadsförs de inte alltid som antivirusprogram utan som
heltäckande säkerhetsprogram. Men inte desto mindre är ett av deras
vik-tigaste syften fortfarande att upptäcka och ta bort skadlig
kod.
Tips!Antivirus för Mac?De flesta antivirusprogram riktar sig
till Windows-användare, eftersom majoriteten av all skadlig kod
angriper just Windows. Men även om Mac-använ-dare fortfarande är
tryggare så har ett antal hot även mot Mac dykt upp på senare år,
och det finns sä-kerhetsprogram med antivirusfunktioner att tillgå
även där. Tänk på att även om du som använder Mac inte smittas av
skadlig kod skriven för Windows, så kan du av misstag föra smittan
vidare till pc-använ-dare genom att vidarebefordra e-post med
skadliga filer, bedrägliga webbadresser och så vidare.
att ta sig in. Gör det därför till en vana att ta bort program
som du bestämmer dig för att du inte behöver. Som en bonus sparar
du därmed på hårddiskutrymme. Tänk på att principen inte bara ska
gälla vanliga program, utan också instickspro-gram (“plugins” eller
“extensions” som de kallas på engelska) i webbläsare.
kapitel 2: virus, trojaner och maskar
-
14
Varning!”Antivirus håller mig säker mot allt!”
→ Det finns inget hundraprocentigt skydd mot skadlig kod, inte
ens för den som köper dyra sä-kerhetsprogram och betalar för
regelbundna upp-dateringar.
→ Ny skadlig kod kan spridas på nätet och ställa till med skada
innan de identifieras av säkerhetsföre-tagen och programmen lär sig
känna igen dem. Om du hör till de första att bli infekterad av ny
skadlig kod finns det därför risk att din dator skadas. → Därför
gäller det att vara försiktig med att ladda hem program och klicka
på bifogade filer eller län-kar i e-post om du inte är helt säker
på att de kom-mer från en trygg avsändare. I kombination med
antivirus kommer sådan försiktighet räcka långt för att hålla
datorn fri från infektioner.
2.13 Uppdatera, uppdatera, uppdateraEftersom ny skadlig kod
upptäcks hela tiden är det viktigt att antivirusprogram-met hålls
uppdaterat. I regel säljs de med en prenumeration för nya
signaturfiler. Genom att regelbundet ladda hem nya lär sig
programmet vad det ska leta ef-ter. När programmet är inställt att
hämta nya filer behöver du inte tänka mer på det, uppdateringen
sker i regel automa-tiskt i bakgrunden.
En rad företag säljer antiviruspro-gram. Symantec, McAfee,
Kaspersky, F-Secure och Sophos är några av de mest kända. De
varierar både i pris och funk-tioner, så vilket som passar dig bäst
är svårt att säga. Många finns i en gratis testversion som kan
laddas hem och an-vändas under en kortare tid. Testa dig gärna
fram! Utöver detta så har de se-naste versionerna av Windows och
Mac OS X säkerhetsfunktioner som du bör ha aktiverade.
kapitel 2: virus, trojaner och maskar
-
15
kapitel 3: nätfiske och den okända avsändaren
03 Nätfiske och den okända avsändaren
En av de vanligaste metoderna för att kom-ma över känslig
information på nätet och sprida skadlig kod, trojaner och virus är
med hjälp av det som kallas för “phishing”. Ordet är en omskrivning
för “fishing”, och brukar översättas till nätfiske på svenska. I
korthet går det ut på att en angripare
lurar dig att lämna ifrån dig känslig in-formation genom att
låtsas vara någon annan. I det här kapitlet går vi igenom de
vanligaste formerna av nätfiske, och för-klarar hur du skyddar
dig.
Ibland kan nätfisket vara lätt att genom-skåda: Alla nätsurfare
är bekanta med de
Falsk e-post som ser ut att komma från din bank eller ditt
kreditkortsföretag är en vanlig form av nätfiske.
-
16
enorma mängder skräppost som landar i våra e-postlådor varje
dag. Ibland är det en påstådd släkting i ett avlägset land som
lovar att överlämna ett bortglömt arv om du bara skickar över en
liten ad-ministrationsavgift. Ibland är det en på-stådd vinst i en
tävling, där värdefulla prylar blir dina om du bara uppger dina
bankuppgifter för avsändaren.
De flesta har lärt sig att genomskåda sådana enkla bluffar och
snabbt förpassa dem till papperskorgen. De flesta mejl-program har
dessutom inbyggda filter för att automatiskt sortera bort oönskad
skräppost.
På senare år har dock många nätfis-kare blivit mer
sofistikerade. Framförallt de phishing-mejl som försöker komma över
inloggningsuppgifter till banker har blivit svårare att skilja från
äkta vara. Ge-nom att använda logotyper, text och bil-der stulna
från bankens verkliga webb-plats går det att få till mejl som ser
ut att vara äkta. Inte sällan ber avsändaren dig logga in för att
bekräfta exempelvis din adress, eller installera en
säkerhetsupp-datering. I själva verket smusslas dina
inloggningsuppgifter undan och används sedan av angriparen för att
länsa ditt kon-to (se kapitel 7: ”Så skyddar du dina peng-ar”, för
mer om detta). Regeln här är att
din bank aldrig någonsin mejlar och ber om dina
inloggningsuppgifter eller att du ska logga in på en sida för att
kolla att dina uppgifter stämmer.
3.1 Din vän kan vara vem som helst Att många försök till
nätfiske är enkla att genomskåda beror på att avsändarna siktar
brett. De flesta skräppostare skick-ar ut sina mejl till flera
miljoner mot-tagare, ofta på flera språk och i många olika länder.
Strategin ger dem väldigt lite utrymme att anpassa utskicken till
just dig. Det tvingar dem att formulera sig brett och opersonligt i
sina texter, och det gör det lättare för e-postprogrammens
automatiska filter att identifiera skräp-posten och omedelbart
förpassa den till papperskorgen.
Givetvis är det en svaghet som listiga angripare lärt sig
utnyttja. Det kanske bästa sättet att göra nätfiske mer effektivt
är nämligen, något paradoxalt, att be-gränsa antalet mottagare. Om
en angri-pare bara väljer ut svenskar kan hen kon-centrera sig på
att förbättra språkbruket, exempelvis. Genom att bara välja kunder
till ett visst företag, eller boende i ett visst område, går det
att bättra på trovärdig-heten ytterligare genom att strössla
tex-ten med bekanta detaljer och referenser.
kapitel 3: nätfiske och den okända avsändaren
-
17
Checklista!Tre anledningar att bli misstänksam De flesta
phishingmejl är lätta att avslöja. Här är tre saker att vara
uppmärksam på när du försöker avgöra om avsändaren är den hen utger
sig för att vara.
1. StavfelNätfiskare behöver inte vara svenskar även om de
försöker lura svenska användare. Ofta översätts textinnehållet i
mejlen automa-tiskt med hjälp av verktyg på nätet. Var där-för
uppmärksam på märkliga formuleringar, rena stavfel och underliga
ordval. Brukar din bank inleda mejl till dig med “Käre herre/fru”?
Brukar din mobiloperatör inleda på-minnelser om obetalda fakturor
med orden “Fel bill”, en misslyckad översättning av det engelska
ordet för räkning? Båda är exempel ur verkligheten, och lätta att
genomskåda för den som läser noga
2. Varifrån kommer mejlet?Ett enkelt sätt att avgöra ett mejls
äkthet är att kika närmare på avsändaren. Intill eller strax under
namnet (beroende på vilket mejl-program du använder), ser du
mejladressen
i sin helhet. Titta noga på e-postdomänen, det vill säga vad som
står efter “@” i adressen. Ett mejl från Telia bör rimligen komma
från telia.com eller telia.se, inte från exempelvis
[email protected]. Även det är ett exempel från
verkligheten, och ett tydligt tecken på att något inte står rätt
till. Men även om adressen stämmer ska du inte kän-na dig helt
säker, det går faktiskt att fejka en riktig avsändaradress.
3. Vart leder länkarna?De flesta nätfiskare försöker få dig att
klicka på en länk i mejlet, antingen för att skicka dig vidare till
en falsk inloggningssida eller för att installera skadlig kod på
din dator. Undersök därför länkarna lite extra innan du klickar. I
de flesta mejlklienter kan du enkelt förhandsgranska länkar genom
att hålla muspekaren över dem. I fönstrets botten, eller intill
muspekaren, visas då destinationsadressen. För att återgå till
ex-emplet ovan: I ett mejl från Telia bör län-karna rimligen leda
till telia.se- eller telia.com-adresser. Inte, som i detta fall,
till en suspekt tysk shoppingsajt. Tyvärr har banker och
e-handelssajter ofta långa och komplicerade adresser till specifika
sidor och tjänster så här gäller det att vara extra uppmärksam.
kapitel 3: nätfiske och den okända avsändaren
-
18
Genom att gå ännu ett steg längre, och fokusera utskicket på
just dig, kan en skicklig nätfiskare göra bluffen nästan omöjlig
att upptäcka. Det kallas för “spear fishing”, spjutfiske på
svenska, och syftar på nätfiske där måltavlan har krympts ned till
att omfatta en enskild individ, eller en mycket liten grupp av
mottagare.
Ett välkänt exempel inträffade år 2011, och fick minst sagt
ödesdigra konsekven-ser. Någon skickade då ett mejl till en
handfull anställda på säkerhetsföretaget RSA, med det bifogade
exceldokumentet “2011 recruitment plan.xls”. Mottagarna valdes
noggrant ut av angriparen – de var just sådana som skulle
beröras av en rekryteringsplan. En av dem gick på bluffen och
öppnade den bifogade filen. I exceldokumentet gömde sig ett stycke
skadlig kod, som snabbt tog kontroll över den anställdes dator och
letade sig vidare på företagsnätverket. Måltavlan var RSA:s mest
känsliga företagshemlig-het, krypteringstekniken SecurID, som
används av mängder av företag för två-faktorsautentisering (läs mer
om den tekniken i kapitel 5: ”Lösenord och två-faktorsinloggning”).
Angreppet lycka-des, och årets största säkerhetsskandal var ett
faktum. Allt tack vare ett oanse-ligt nätfiskemejl.
3.2 Att fejka en avsändare är ingen konstMetoden som användes
för att komma åt säkerhetsföretaget RSA:s hemligheter kan enkelt
anpassas även mot privatpersoner. I regel är folk mer benägna att
klicka på länkar eller lämna över viktig information till personer
de känner och litar på. Det är inte så konstigt – men hur vet
du att vännen som mejlar, eller pratar med dig på Facebook,
verkligen är den hen utger sig för att vara?
Det finns inga inbyggda spärrar på inter-net som förbjuder oss
att registrera exem-pelvis e-postadresser i falskt namn, så länge
just den adressen inte är upptagen. Dess-utom finns verktyg på
nätet som låter en angripare fejka en avsändaradress utan att ens
registrera den på riktigt. Hösten 2012 roade sig exempelvis en
skämtsam hackare med att skicka tramsigt skrivna mejl från adressen
“[email protected]” till journalister. För den
som inte noterade stavningen i förnamnet (Sverigedemokraternas
partiledare skriver Jimmie, inte Jimmy) var bluffen svår att
ge-nomskåda. I det fallet var avsikten bara att roa, men samma
metod kan användas även för att sprida trojaner och maskar. Fråga
dig själv: Hur noga tänker du efter innan du laddar ned en fil
eller klickar på en länk som skickats till dig av en vän?
kapitel 3: nätfiske och den okända avsändaren
-
19
Överkurs! ”Ingen klickar väl på spam?”Det kan tyckas märkligt
att skräpposten fortsätter att flöda in i våra e-postlådor år efter
år. Ingen kan väl vara så dum att den klickar på vad som i de
flesta fall så uppen-bart är försök till bedrägeri? Faktum är att
nätfiske är ett mycket effektivt verktyg för att sprida skadlig kod
och lura av nätsurfare känslig information.
År 2009 genomförde företaget Trusteer en undersökning där mer än
tre miljoner nätanvändares beteende analyserades un-der en
tremånadersperiod. Resultatet visade att ungefär en procent av alla
amerikanska bankkunder luras att klicka på en länk i ett
nätfiskemejl, som utgett sig för att komma från deras bank, under
varje enskilt år. Av dem fyller nästan hälften i sina
inloggnings-uppgifter på sidan de sen skickas vidare till.
En av hundra kanske inte låter mycket, och mycket riktigt är
träffgraden på ett en-
skilt skräppostutskick låg. Men med tanke på de enorma volymer
som skickas ut räcker den ändå långt. Erfarna spammare jobbar
nämligen enligt hagelbösseprincipen, och siktar så brett det bara
går och hoppas att tillräckligt många går på bluffen.
En titt på siffrorna räcker för att bekräfta den bilden. En
vanlig dag skickas som regel tiotals miljarder
skräppostmeddelanden. Inte sällan utgör den mer än två tredjede-lar
av all e-posttrafik som flödar över nätet. Världen över skickas det
alltså dubbelt så mycket skräppost som “riktig” e-post. Det mesta
är dåligt formulerade säljbrev för bil-lig Viagra och suspekta
dejtingsajter, men även försök att komma över bankuppgifter eller
annan känslig information är vanligt förekommande.
Enligt en undersökning gjord av säker-hetsföretaget Symantec var
0,35 procent av alla mejl som skickades i världen under juni 2011
utformade för att lura mottagaren att lämna ifrån sig ett lösenord,
ett kontokorts-nummer eller någon annan form av känslig
information.
kapitel 3: nätfiske och den okända avsändaren
-
20
Av samma anledning är inloggnings-uppgifter till konton på
sociala medier, exempelvis Facebook eller Twitter, myck-et
åtråvärda. Genom ett stulet Facebook-konto är det i många fall en
barnlek att lura av andra känslig information – kan-ske pojk-
eller flickvännen kan övertygas att knappa in sitt kontokortsnummer
i chattfönstret för att lösa en akut situa-tion? Kanske kan bästa
vännen övertygas att ladda ned ett roligt spel, som i själva verket
innehåller en lömsk trojan? Blädd-ra till kapitel 5 för att läsa
mer om detta.
Det bästa sättet att skydda sig från nät-fiske är alltså att så
ofta det går kontrol-lera om avsändaren verkligen är den hen utger
sig för att vara. Ett enkelt knep är att helt enkelt kontakta
avsändaren via en e-postadress du har sedan tidigare, och be
avsändaren bekräfta sin identitet. Vill du vara extra säker så
ställ en kon-trollfråga som bara avsändaren kan svara på. Kanske
minns din vän någonting som
hände i er barndom? Kanske kan dina föräldrar svara på någonting
som är väl-känt i familjen, men inte för andra?
För den verkligt försiktige finns ännu en åtgärd att ta till:
Lyft telefonen och ring upp! Då kan du helt enkelt fråga
avsända-ren om hen verkligen skickat just det där misstänkta
meddelandet till dig eller ej.
kapitel 3: nätfiske och den okända avsändaren
-
21
kapitel 4: trådlösa nätverk
04 Trådlösa nätverk
Trådlösa nätverk i hemmen har varit en självklarhet i många år.
Inte minst gick fler över till trådlöst när bredbandsope-ratörer
för några år sedan började skicka ut utrustningen som krävs gratis
till sina kunder. Att tekniken slog igenom var knappast förvånande.
Det är mycket praktiskt att kunna flytta sig med en bär-bar dator
från köket till vardagsrummet utan att krångla med
nätverkskablar.
Men vad vissa glömmer är att det tråd-lösa nätverket inte bara
fungerar inom hemmets väggar. Bor du i lägenhet ser du säkert
grannarnas nätverk. Plocka med dig datorn ner på gatan och du
kommer märka att både ditt eget nätverk och gran-narnas går att nå
även där.
Det är alltså fullt möjligt för vem som helst att nå ditt
nätverk och utnyttja det för sina egna syften, bara genom att vara
i närheten av bostaden. Därför måste ditt trådlösa nätverk skyddas
på ett annat sätt än ett som består av kablar.
4.1 När det går riktigt illa – därför ska du skydda ditt
nätverkMan kan fråga sig varför man ska skydda sitt trådlösa
hemmanätverk med lösen-ord och kryptering. Är det inte en trevlig
gest att bjuda grannar och förbivand-rande på gratis uppkoppling?
Jo, visst är det så. Men samtidigt är det förknippat med risker att
låta vem som helst surfa via ens uppkoppling.
För att förstå varför måste man förstå grunderna i hur polisen
arbetar för att utreda it-baserad brottslighet. När en misstänkt
spåras på nätet börjar polisen ofta med en ip-adress som har
fastnat i en loggfil någonstans. Det gäller oavsett om brottet är
hot via e-post, dataintrång el-ler illegal fildelning. Om brottet
bedöms allvarligt nog kan polisen sedan vända sig till
internetoperatören och begära ut information om vem som använde
ip-adressen vid tillfället då brottet begicks. När namn och adress
har lämnats ut har
-
22
polisen allt som behövs för att genomföra en husrannsakan.
Ip-adressen säger alltså ingenting om vem som har utfört ett
brott, bara vilken uppkoppling som användes. Men det är mot ägaren
av uppkopplingen som en eventuell husrannsakan riktas, vilket kan
vara nog så otrevligt även om det senare visar sig att innehavaren
är helt oskyldig.
Scenariot är inte hypotetiskt, vilket ett antal boende i Dalarna
blev varse en tidig vårmorgon 2012. Då slog polisen till mot flera
bostäder i Ludvikatrakten. Personen de sökte misstänktes för ett
allvarligt da-taintrång mot bland annat it-företaget Logicas
servrar. Adresserna de slog till mot hade tagits fram genom
spårning av ip-adresser. Polisen klampade in, beslag-tog
mobiltelefoner, datorer och hårddis-kar. De boende tvingades sitta
igenom förhör där de anklagades för allvarliga brott som kunde ge
långa fängelsestraff.
Först senare framkom att de allihop var helt oskyldiga. De var
vanliga dator-användare som surfade på nätet, skickade e-post och
betalade sina räkningar via in-ternetbanker. Däremot hittade
polisens tekniker något intressant när de tittade närmare på deras
trådlösa nätverk. De hade hackats och använts av en främman-de
person som bodde i närheten. Vid en
Tips!Frågor till din operatör
Ställ krav på din internetoperatör om en trådlös router ingår i
abonnemanget. Här är tre frågor som du ska kräva svar på:
→ Är lösenordskrav och kryptering aktiverat från start? → Kan
jag själv byta till ett eget lösenord? Be om hjälp om det är
komplicerat! → Vilken typ av kryptering används?
husrannsakan hemma hos honom hittade man en förstärkningsantenn
monterad på balkongen. Med hjälp av den kunde han nå trådlösa
nätverk på långt håll – och mycket riktigt återfanns knäckta
lösenord till grannarnas nätverk sparade på en av hårddiskarna i
bostaden.
Därmed avfördes de oskyldiga gran-narna helt från
förundersökningen, men några av dem har efteråt vittnat om hur
kapitel 4: trådlösa nätverk
-
23
omskakande det var att få poliser instor-mande en tidig morgon
utan att förstå vad som hade hänt.
4.2 Så skyddar du nätverketI huvudsak behövs två sorters skydd
för trådlösa nätverk: Dels ska nätverket för-ses med lösenord och
dels ska det kryp-teras (läs mer om kryptering i Kapitel 6: ”E-post
är som vykort”). Lösenordet stop-par obehöriga från att ansluta
sig. Krypte-ringen hindrar dem från att avlyssna din surfning. Som
tur är löser man både och med en enda inställning.
Så varför behövs kryptering för att nät-verket inte ska
avlyssnas? Egentligen räcker det att tänka på hur trådlösa nätverk
egent-ligen fungerar. När du surfar utan sladd flyger ju all
information mellan din dator och routern genom luften. Det betyder
att någon annan kan snappa upp den på vägen, till och med utanför
ditt hem. Innehållet på hemsidor, text du själv skriver in, filer
som laddas upp och ned. Samt – och detta är kanske det värsta – en
hel del lösenord till sajter på nätet.
Alla moderna trådlösa routrar har i dag stöd för kryptering som
duger gott för
Så här ser inloggningen till ett nätverk som skyddas med
WPA2-kryptering ut på en Mac.
Och så här ser inloggningen till ett nätverk som skyddas med
WPA2-kryptering ut på en PC.
kapitel 4: trådlösa nätverk
-
24
Det finns flera olika säkerhetsstandarder för trådlösa nätverk.
Alla gör de ungefär samma sak – de krypterar trafiken för att
göra den oläslig för utomstående – men med olika re-sultat.
Här är de vanligaste typerna:
1. WEP – gammalt och dåligtWEP är en gammal form av säkerhet för
trådlösa nätverk som togs fram redan på 1990-talet. Även om din
router fortfarande har stöd för WEP så ska det undvikas. För det
ska sägas rakt ut: WEP erbjuder mycket
hemmabruk. Exakt hur inställningarna görs beror på vilken
routermodell du har. Men i grunden är det okomplicerat: Välj
krypteringsmetod, ange ett lösenord och du är igång.
Det finns dock ett par fallgropar att und-vika. Framförallt ska
man akta sig för äldre typer av kryptering. Vilken typ av
krypte-
svag säkerhet och ska aldrig användas. Fak-tum är att det kan
knäckas på några sekunder.
2. WPA – efterföljarenBland inställningarna kan du hitta
möjlighe-ten att välja WPA, en standard som följde efter WEP.
Undvik även denna, eftersom den har fasats ut till förmån för
efterföljaren WPA2.
3. WPA2 – bäst hittillsSedan flera år ska alla trådlösa routrar
ha stöd för denna modernare säkerhetsfunktion. Det är denna du ska
välja, om den inte är förvald redan när du plockar upp routern ur
kar-tongen. I routrar för hemmabruk kallas den ibland WPA2 Personal
eller WPA2-PSK.
Viktigt!Välj rätt säkerhet för din router
kapitel 4: trådlösa nätverk
ring som används kan du se genom att log-ga in på routern, men
ofta kan man också se det när man ansluter sig till nätverket.
4.3 Publika nätverk – hemligheter hör inte hemma på kaféetAllt
fler kaféer och hotell erbjuder trådlö-sa nätverk till sina kunder.
Ibland skyddas
-
25
Varning!Se upp med lösenordet!I alla sammanhang där kryptering
används gäller en regel: Det spelar ingen roll hur bra
säkerhetsmekanismer du har aktiverat om du inte väljer ett starkt
lösenord. Många routrar levereras med ett förinställt lösenord. Det
är en bra idé att byta det mot ett eget som är långt och därmed
svårt att knäcka. Se kapitel 5 för tips om bra lösenord!
dessa av lösenord, men ibland är de helt öppna. Som användare är
det praktiskt – bara att ansluta och sätta igång att surfa. Men man
ska komma ihåg att ens infor-mation då kommer flyga genom luften,
ofta helt okrypterad och därmed möjlig att avlyssna.
Det finns till och med särskilda program som används för att
snappa upp männis-kors lösenord från sådana nätverk. De är
förbluffande effektiva och kan enkelt an-vändas av vem som helst
som är i närheten av kaféet eller hotellet.
Därför är det en god idé att vara mer försiktig när man surfar
från ett kafé. Visst är det okej att kolla nyhetssidor, men om du
hanterar något mer känsligt bör du vidta vissa åtgärder.
För det första: Kontrollera om adressen i din webbläsare börjar
på “https” istället för “http”. Det betyder att anslutningen är
krypterad och svårare att avlyssna.
kapitel 4: trådlösa nätverk
4.4 Proffskryptering med VPNVill du vara riktigt säker på att
ingen av-lyssnar dig när du använder ett publikt nätverk så är det
enda alternativet att kryptera allt du gör. Det enklaste sättet att
lösa det är med tekniken VPN, som står för virtual private network
– virtuellt privat nätverk.
Att använda VPN innebär att din upp-koppling mot en sajt, till
exempel Gmail.com, inte går direkt från dig till Gmail. Is-tället
går allt ditt surfande via en speciell server som du ansluter till
med stark kryp-tering. Rent tekniskt använder du därför det lokala
nätverket bara för att ansluta till en enda server: VPN-tjänstens
server – och tack vare att anslutningen dit är krypterad så flyger
ingen oskyddad information om-kring i luften på kaféet där du
sitter. Tänk på att din uppkoppling bara skyddas fram till den
vpn-server du använder. Därefter kan den röra sig på nätet helt
okrypterad,
-
26
Viktigt!Lösenord – men ingen kryptering Vissa publika nätverk
släpper in användaren utan lösenord men kräver inloggning (och
ibland betalning) innan man kan besöka en webbplats eller hämta sin
e-post. Detta är en annan sorts inloggning än den som beskrevs här
ovan och innebär inte att nätverket är krypterat. Med andra ord:
Betrakta dem som helt öppna och använd dem därefter.
Detta system används till exempel av Telias tjänst Homerun och
SJ:s trådlösa nätverk ombord på tågen.
men här fokuserar vi på att undvika avlyss-ning på kaféets
trådlösa nätverk.
VPN används av många företag vars anställda arbetar utanför
kontoret. Men det kan också köpas som en tjänst av pri-vatpersoner
för några tior i månaden. Det finns en mängd kommersiella tjänster
att välja mellan. I grunden gör de alla samma sak, men hastigheten
kan variera. Efter-som ditt surfande tar en omväg via en server så
kan uppkopplingen bli långsam-mare. Därför är det värt att testa
ett par tjänster och själv avgöra vilken som går snabbast för
dig.
Tips!Använd (nästan) alltid httpsMånga webbplatser erbjuder
möjlighet att köra krypterat över https, men har det inte aktiverat
från början. Om du använder antingen Google Chrome eller Firefox
som webbläsare så finns ett gratis in-sticksprogram som heter HTTPS
Everywhere. Med det installerat kommer webbläsaren alltid välja
htt-ps när det är möjligt.
Läs mer och ladda hem: https://www.eff.org/https-everywhere
kapitel 4: trådlösa nätverk
https://www.eff.org/https-everywhere%20
-
27
kapitel 5: lösenord och tvåfaktorsinloggning
05 Lösenord och tvåfaktorsinloggning
Tänk att du ska logga in på alla sajter du någonsin har
registrerat dig på. Hur många lösenord skulle du behöva kom-ma
ihåg? Fem? Tio? Hundra?
Lösenordet är fortfarande det i sär-klass vanligaste sättet att
identifiera sig på internet. Ändå är så gott som alla
sä-kerhetsexperter överens – lösenord är ingen bra lösning och
borde ersättas så snart det bara går. Problemen med dem är många.
Knappt någon kan komma ihåg alla sina lösenord. Gång på gång kommer
hackare över stora databaser med vanliga människors lösenord och
kan logga in på deras konton.
Vi ska snart komma in på vilka alter-nativ som finns, men det är
lika bra att vi på en gång slår fast en sak: Lösen-orden kommer
finnas kvar ett bra tag framöver. Därför är det viktigt att lära
sig använda dem på rätt sätt. Vi börjar med själva ordet – hur ska
ett bra lösen-ord se ut?
5.1 Att välja ett bra lösenordLösenord ska vara långa, svåra att
gissa och innehålla mer än vanliga bokstäver. Låter det som ett
recept för lösenord som ingen människa klarar av att komma ihåg?
Jo, så kan det vara. Men det finns knep som gör det enklare. Här
går vi ige-nom hur man kan välja ett lösenord som är svårare för en
angripare att komma över. Se till att läsa guiden ända till slutet,
för lösenordet vi börjar med är ett riktigt dåligt exempel.
Så här ser många lösenord ut, kanske speciellt för en
hundintresserad: rottweiler.
Vad är då problemet? Vi börjar med längden. Ett vanligt råd är
att lösenord ska vara minst åtta tecken långa. Det är en bra
tumregel, men det finns egentligen ingen anledning att inte gå
längre än så. Väljer du rätt så är det lika enkelt att komma ihåg
ett lösenord som är femton tecken långt. Kom ihåg – ju fler
bokstäver och andra tecken du väljer desto mindre är risken att
någon
-
28
främmande kan komma in på ditt konto.Den andra regeln är att det
ska vara
svårt att gissa. Här finns några regler som alla bör följa
stenhårt: Ditt lösenord ska aldrig vara ett vanligt ord eller namn.
Det största misstaget är att använda ett ord som är starkt
förknippat med dig själv – namnet på ett husdjur eller en släkting,
ditt eget efternamn eller liknande. Sådana är lätta att gissa sig
till eller hitta på nätet. Kanske har du skrivit om ditt husdjur på
Facebook eller bloggat om din familj? I så fall tar det inte många
sekunder att identi-fiera ett par namn att prova som lösenord.
Med andra ord är rottweiler ett dåligt lö-senord, speciellt om
du har pratat om ditt intresse för denna hundras på nätet. Även om
du inte skulle ha gjort det så finns ordet i ordlistor, vilket
förenklar gissningsarbe-tet avsevärt. (Varför ordlistor gör en
attack enklare går vi igenom i nästa avsnitt.)
Ett sätt att både göra lösenordet längre och slippa problemet
med ordlistor är att helt enkelt lägga till fler ord. Det behöver
inte göra lösenordet mycket svårare att komma ihåg:
minhundrottweilern(Tänk “min hund rottweilern”, men ofta får
lösenord inte innehålla mellanslag.) Vips så är vi uppe i 18
bokstäver, vilket är betydligt bättre.
Den tredje regeln gäller vilka bokstä-ver och tecken man
använder. Här gäller samma princip – ju svårare det är att gissa
desto säkrare är lösenordet. Fler sorters tecken betyder fler
möjliga varianter av lösenordet och därmed ett klurigare
giss-ningsarbete. Ett första steg är att blanda stora och små
bokstäver. Det finns många sätt att göra det:
MinHundRottweilernMinHundROTTWEILERNminHUNDrottweilern
Till sist – ett starkt lösenord innehåller inte bara bokstäver,
utan också siffror och specialtecken som till exempel €, # eller
&. Visst är det bra att välja tecken el-ler siffror som är
lättare att komma ihåg, men undvik de mest uppenbara som till
exempel ditt födelseår.
Som vän av rottweilerhundar kanske man vet att den registrerades
av den ame-rikanska kennelklubben år 1931.
minHUNDrottweilern1931… eller varför inte:
minHUND1931rottweilernAtt knäcka ett lösenord är aldrig helt
omöj-ligt – men man kan göra det svårare för angriparen. Med ett
lösenord av den här typen har du åtminstone inte gjort det onödigt
enkelt, och dessutom slipper du ett obegripligt lösenord av typen
8F€€Fv0Z2”€.
kapitel 5: lösenord och tvåfaktorsinloggning
-
29
Varning!Enkla knep kan genomskådas
Ett vanligt knep för de som vill göra lösenord svåra-re att
genomskåda är att ta ett vanligt ord och byta ut bokstäver mot
siffror som liknar dem. Telefon blir t3l3f0n och så vidare. Men
eftersom knepet är välkänt kan angriparen ställa in sitt
knäckningspro-gram för att testa dessa varianter.
Att göra varje begynnelsebokstav i lösenordet stor är lockande,
eftersom det är enkelt system att memorera. Men av samma anledning
är det enklare att gissa sig till. Försök hitta ett system som inte
ge-nomskådas lika lätt.
Man talar ofta om att “gissa lösenor-det”. Visst kan det hända –
det är därför man aldrig ska välja till exempel sitt barns namn som
lösenord. Men oftast handlar det om två automatiska metoder: Dels
en så kallad ordlisteattack och dels metoden brute force, vilket
kan översättas till “rå-styrka” på svenska.
Du kanske har sett nyheter om att listor med lösenord har läckt
från stora webb-platser. Ibland talas det om att lösenorden som har
läckt är krypterade – och det kan ju låta tryggt. Det som är
krypterat borde väl vara säkert?
Nej, faktiskt inte. För när angriparen väl har kommit över en
läckt lösenordslista så kan hen använda speciella program för att
gissa lösenord i blixtsnabbt tempo. Det kan liknas vid att försöka
logga in flera miljarder gånger i sekunden, eller ännu oftare. Men
de flesta sajter skulle stänga en angripare ute efter ett par
misslyckade försök. För den som har kommit över lis-tan med
krypterade lösenord finns inga sådana begränsningar.
Vi börjar med att förklara brute force-attacken. Principen är
simpel: Gissa varje tänkbart lösenord. Säg att vi utgår från att
lösenordet som ska knäckas är mellan tre och åtta tecken långt. Då
kan den första gissningen vara “aaa” som följs av “aab”
Men varför behöver man krångla till det så här? För att begripa
det måste man för-stå hur en attack går till.
5.2 Så knäcks ett lösenordVi har nu visat skillnaden mellan ett
lätt-knäckt och ett svårknäckt lösenord. Men varför är skillnaden
så stor? Förklaringen ligger i de två vanligaste metoderna som
angripare kan använda.
kapitel 5: lösenord och tvåfaktorsinloggning
-
30
och sedan “aac”. När alla kombinationer av tre bokstäver är
testade är det bara att gå vidare till de med fyra bokstäver. Och
så vidare. Som du förstår blir det en hel del gissningar, men en
kraftfull dator kommer klara av alla möjliga kombina-tioner på
några sekunder.
Men om angriparen inte bara behöver gissa mellan kombinationer
av bokstä-ver, utan också vilka som ska vara ver-sala och vilka som
ska vara gemena? Då blir alternativen fler – och därmed krävs fler
gissningar. Detsamma sker när du lägger in specialtecken eller gör
ditt lö-senord längre.
Ordlistan då? Att knäcka ett lösenord med hjälp av ordlista är
den allra enklaste genvägen. När man ska knäcka ett lösen-ord
testar man ofta först alla ord man har i en ordlista. De innehåller
de vanliga ord, namn och annat som många väljer som lösenord. Det
kan röra sig om hundratu-sentals exempel, men 100 000 gissningar är
mycket litet i sammanhanget. En dator klarar det på bråkdelen av en
sekund.
Kort sagt: Om du väljer ett vanligt ord kan du räkna med att
lösenordet kan knäckas omedelbart. Låt oss ta några exempel:
→ fido: Ett riktigt dåligt lösenord. Kan mycket väl finnas i
angriparens lö-
senordslista, och även om det inte gör det så knäcks det på
bråkdelen av en se-kund. → rottweiler: Något bättre, eftersom det
är längre. Men även detta finns i ordlistor. → minhundrottweilern:
Redan här börjar det se riktigt bra ut. Förutsatt att an-griparen
inte har några ledtrådar om lösenordets längd eller vad det består
av så är lösenordet svårt att gissa sig till.
Men sådan tur har man inte alltid. Ju fler av råden som nämns
här ovan desto säkrare blir ditt lösenord. Om du byter från
minhundrottweilern till minHUN-D1931rottweilern så ökar antalet
möjliga kombinationer ytterligare.
Att knäcka ett långt lösenord med en vanlig hemdator skulle ta
flera miljoner år om angriparen skulle vara tvungen att testa alla
tänkbara alternativ. I praktiken är det sällan så. Genom
sofistikerade metoder, till exempel så kallade regnbågstabeller,
kan antalet gissningar som behöver genom-föras sänkas dramatiskt.
Därmed knäcks lösenordet snabbare – ännu ett gott skäl att använda
ett långt och svårknäckt lösenord.
5.3 Samma lösenord överallt?Du har säkert konton på nätet som
skulle kunna bli hackade utan att det gör speciellt
kapitel 5: lösenord och tvåfaktorsinloggning
-
31
stor skada. Till exempel inloggningen till en filmtjänst – att
ditt lösenord dit knäcks skulle bara innebära att någon kan se film
på din bekostnad. Värre saker kan hända.
Många resonerar så och väljer därför samma lösenord på en mängd
sajter. Vad de inte tänker på är att om lösenordet läcker från en
av dessa sajter så kommer angriparen åt dem allihop. Det är
näm-ligen enkelt att testa om lösenordet som visade sig fungera på
en webbplats även gäller på en annan.
Värst är det om man har använt samma lösenord på “skräpsajter”
och för konton som är viktiga – till exempel din e-post-adress. I
samband med att lösenord läcker ut läcker ofta även e-postadressen
efter-som den används som användaridentitet. Säg att det är en
Gmail-adress. Då är det lätt för angriparen att gå till gmail.com
och försöka logga in med lösenordet som redan är på villovägar.
Därför är det viktigt att inte använda samma lösenord och
e-postadress över-allt. Börja med att identifiera dina vikti-gaste
konton.
Din e-postadress hör till dem, inte minst eftersom den kan
användas för att skapa nya lösenord på andra sajter. Det är ju dit
mejlen kommer när du har glömt ett lösenord och ber att få ett
nytt. Med an-
dra ord kan den som har tillgång till ditt e-postkonto snabbt ta
kontroll över varenda konto du har på nätet.
För många har Facebook blivit lika vik-tigt som e-post, och den
som använder Twitter flitigt bör ha ett unikt, starkt lö-senord
även där. Hur listan över viktiga konton ser ut varierar från
person till per-son. Vilket konto skulle det vara värst om någon
utomstående tog över?
Här är det lätt att tänka “ingen bryr sig väl om mitt konto”?
Men faktum är att just Facebookkonton är högvilt för bedragare, och
det handlar inte om att de är nyfikna på dina meddelanden.
En vanlig bedrägerityp bygger nämli-gen på att en angripare tar
över ditt Fa-cebookkonto. Med det under kontroll kan hen starta en
chatt med en av dina vänner, där hen utger sig för att vara du.
Historien bedragaren diktar upp brukar handla om att du är
utomlands och har blivit av med plånboken. Därför ber bedragaren om
ett snabbt lån, som ska betalas direkt till utlandet via till
exempel Western Union. Men i själva verket är det bedragaren som
plockar ut pengarna, allt på grund av att lösenordet till ditt
Facebookkonto ham-nade på villovägar. När vännen väl upp-täcker att
det inte var dig hen pratade med är det i regel för sent.
kapitel 5: lösenord och tvåfaktorsinloggning
-
32
Med andra ord – undvik till varje pris att använda samma
lösenord överallt. Kla-rar du inte av att ha ett lösenord för
var-enda sajt du har registrerat dig på, ha åt-minstone unika på de
viktigaste.
5.4 Programmen som hjälper digJu bättre du blir på att välja
lösenord desto fler får du att hålla reda på. Det får många att
snart falla tillbaka i att använda samma lösen överallt. Men det
finns en rad pro-gram som kan hjälpa dig.
De kallas lösenordshanterare och byg-ger på en enkel princip:
Hela din samling lösenord ligger sparade i en krypterad (och därmed
oläslig) databas som skyddas med ett lösenord. Som du förstår är
detta lö-senord det viktigaste du någonsin kommer välja – med hjälp
av det får man ju tillgång till alla lösen du har sparade.
Ett lätt sätt att lösa problemet är att låta webbläsaren spara
lösenord. Det förenklar inloggningen, men innebär också att alla
som kommer åt din dator kan logga in lika enkelt. Det har till och
med visat sig möjligt att plocka fram de sparade lösenorden ur
webbläsaren, vilket kan kännas oroande.
Om du istället vill använda ett separat program för att hantera
lösenord finns det många alternativ, varav några syns i listan här
intill.
5.5 Två faktorer – framtidens inloggningSäkerhetsexperter har
gång på gång dömt ut lösenorden som en förlegad sä-kerhetsmekanism.
Men vad ska då an-vändas istället?
Syftet med en inloggning är att kon-trollera att bara rätt
personer har åtkomst till informationen som söks, exempelvis den du
har på ditt e-postkonto. För att få ett starkare skydd kan man
komplettera användarnamn och lösenord med fler parametrar.
Exempelvis någonting som berättar vem användaren är
(fingerav-trycksläsning, röstanalys, ögonskanning) eller någonting
som användaren har (ett smart kort eller en säkerhetsdosa).
Tanken är att lösenordet ska kunna hamna i händerna på en
angripare utan att hen kan logga in på ditt konto. På samma sätt
kan man tappa bort säker-hetsdosan utan att den som hittar den kan
logga in.
Låter det märkligt? Förmodligen an-vänder du redan
tvåfaktorsinloggning, till exempel för din internetbank. Där
an-vänds ofta säkerhetsdosor med kort till-sammans med en kod eller
ett lösenord.
Det är en utmärkt idé att skydda även ditt e-postkonto med denna
metod. Många av de stora mejltjänsterna har redan stöd för det.
Ofta behöver du inte ens en extra
kapitel 5: lösenord och tvåfaktorsinloggning
-
33
Lösenordshanteraren 1Password kräver huvudlösenordet för att
öppnas.
Tips!Välj lösenordshanterare nogaDet finns en uppsjö program som
hjälper dig att hantera dina många lösenord. De flesta fungerar som
krypterade databaser där du lagrar lösenorden. Tänk dock på att du
verkligen måste kunna lita på den tjänst du väljer. Om möjligt –
välj ett program med öppen källkod, så experter har möjlighet att
granska den i jakt på säkerhetsluckor. Vissa program lagrar
lösenorden på sina egna ser-vrar, eller "i molnet" som det ofta
kallas. Här finns det anledning att vara skeptisk, efter-som du
måste lita på att de skyddar sina ser-vrar tillräckligt noga.
Oavsett vilket du väl-jer så finns det några saker du bör tänka
på.
1. För det första är det bra om programmet finns till både
Windows och Mac, och kanske Linux om det är något du över-väger.
Skulle du byta dator så är det prak-tiskt att kunna ta lösenorden
med dig, utan att behöva skriva av dem ett och ett.
2. För det andra fungerar många av dem också på mobiltelefoner.
Så länge de säk-
ras med bra lösenord är det en utmärkt idé, eftersom du då kan
plocka fram de lö-senord du behöver även när du inte sitter vid
datorn, speciellt om du har sparat mer än bara lösenord till
webbplatser. Många använder samma program för till exempel
portkoder.
3. För det tredje – och detta är viktigast av allt – välj ett
program som är betrott. Ladda bara hem det från den officiella
webbplat-sen och sök gärna runt efter information om eventuella
säkerhetsrisker.
kapitel 5: lösenord och tvåfaktorsinloggning
-
34
säkerhetsdosa utan använder mobilen. När tekniken är aktiverad
använder du en engångskod tillsammans med ditt van-liga lösenord
för att logga in. Mejltjänsten skickar engångskoden till dig
antingen i ett sms, eller via en särskild app.
Låter det krångligt? För att göra det enklare behöver du inte
ange engångsko-den vid varje ny inloggning, om den sker från samma
dator. Hur ofta du måste skriva in ett nytt engångslösenord
varie-rar mellan tjänsterna.
Tvåfaktorsinloggning gör webb-mejl och andra tjänster betydligt
säkrare att använda.
kapitel 5: lösenord och tvåfaktorsinloggning
-
35
Tips!Mejltjänsterna med stöd för två-faktorsinloggning
GmailAktivera funktionen i dina kontoinställningar. Sedan ang-er
du ditt telefonnummer för att få engångskoder skickade via sms,
eller laddar hem appen Google Authenticator till An-droid eller
Iphone.
Outlook (tidigare Hotmail)Även Microsoft har en speci-ell app
för sin tvåfaktorsin-loggning.
Viktigt! “Skriv aldrig ner ditt lösenord”
Att skriva sitt lösenord på en papperslapp och gömma det under
tangentbordet beskrivs ibland som ett klassiskt misstag. Där lär ju
den som vill stjäla det leta allra först.
Visst är det ett dåligt gömställe, och program-men för
lösenordshantering vi nämner här ovan är betydligt bättre
alternativ.
Men faktum är att Bruce Schneier, en av värl-dens främsta
säkerhetsexperter, argumenterar för att man visst kan skriva upp
viktiga lösenord på en papperslapp och ha den i plånboken. Hans
ar-gument bygger på två delar: Dels att starka lösen-ord i dag
måste vara så starka att de blir närmast omöjliga att komma ihåg.
Dels att vi är vana vid att hantera små papperslappar säkert i våra
plån-böcker. Det är trots allt samma ställe som vi an-vänder för
sedlar.
kapitel 5: lösenord och tvåfaktorsinloggning
-
36
kapitel 6: e-post är som vykort
06 E-post är som vykort
E-post är kanske den mest fundamentala kommunikationsformen på
nätet. Du skriver några rader, klickar “send” (skicka), och vips
har ditt meddelande landat hos mottagaren. Blixtsnabbt och enkelt.
Men säkert? Inte alls.
Att skicka ett mejl kan mest av allt liknas vid att skicka ett
vykort – utan kuvert – på posten. Faktum är att vykort
förmodligen är ett bättre val om du har hemligheter att för-medla i
text, för de passerar betydligt färre snokande ögon än ett
genomsnittligt mejl.
På väg till mottagaren studsar ett mejl via en mängd servrar
anslutna till nätet. Vid varje enskild punkt är det en lätt match
att läsa vad som står skrivet i det. Din e-postleverantör, din
internet-leverantör och din arbetsgivare (om du använder
företagsmejlen) kan alla enkelt ta del av de mejl du skickar.
Likaså de per-soner som kontrollerar de övriga servrar mejlet
passerar genom.
Det beror på att mejl skickas över nä-
tet i klartext – som bokstäver, siffror och andra tecken
– och därmed kan läsas med blotta ögat var som helst längs
vägen. I e-posttekniken finns inga inbyggda säker-hetsåtgärder som
döljer det du skriver för andra än mottagaren. Ej heller några sätt
för dig som avsändare att avgöra om, och i sådana fall vem, som
tagit del av infor-mationen du skickat. En angripare som vill komma
över just din kommunikation kan alltså ta hjälp av ett program för
att spela in all trafik som rör sig in och ut från just din dator,
för att sen i lugn och ro leta fram just de e-postmeddelanden som
är intressanta.
Med andra ord är e-post i grunden otjänligt för den som är mån
om att hålla hemligheter hemliga. Den som ändå vill mejla, men utan
att nyfikna lägger näsan i blöt, måste ta saken i egna händer.
6.1 Kryptering – säkert men lite krångligtAtt kryptera ett
meddelande innebär att kasta om bokstäverna i det så att ingen,
förutom mottagaren, kan ta del av infor-mationen. I grund och
botten fungerar det på samma sätt som barndomens le-kar med hemliga
kodspråk: I Astrid Lind-grens böcker om mästerdetektiven Kalle
Blomqvist pratar huvudpersonerna rö-varspråk med varandra, genom
att lägga
-
37
kapitel 6: e-post är som vykort
Tips!Flera e-postkonton – en genväg till säkerhet
Ett enkelt säkerhetsknep är att använda olika e-postkonton för
olika syften. Använd din or-dinarie för seriös kommunikation. Det
är den adress du kan skriva på visitkort och lämna ut till bekanta
som du ska kommunicera med. Skaffa ett gratis, extra konto hos
Gmail, Hotmail, Yahoo eller liknande som du bara använder när du
registrerar dig på sajter. Se det som ditt “skräpkonto”, speciellt
för när du registrerar dig på mer “amatörmässiga” webbtjänster, där
sä-kerheten kan misstänkas vara sämre.
Samma adress kan användas när du laddar hem program från nätet,
vilket ibland kräver re-gistrering. Det är den extra adressen som
du kommer använda för att få ut nya lösenord från webbplatserna du
är registrerad på om du har glömt bort det. Därmed slipper du lämna
ut din ordinarie e-postadress till höger och vänster. Det minskar
mängden skräppost och innebär dessutom att din mejladress inte
ligger lagrad tillsammans med lösenord.
Men kom ihåg – även om du använder ett skräpkonto ska du aldrig
använda samma lösenord till din viktigaste e-postadress som du
använder på andra webbplatser. Du ska inte heller ha samma lösenord
till ditt ordinarie konto som till ditt skräpkonto.
in ett “o” efter varje konsonant och sen upprepa den igen. Ordet
“rövarspråket” blir då till “rorövovarorsospoproråkoke-tot”. Tanken
är att bara den som känner till metoden förstår vad som sägs.
Moderna krypteringsmetoder bygger på liknande principer, men är
i praktiken
omöjliga att ta sig igenom utan rätt nyckel. Texten körs genom
en algoritm, ungefär som ett matematiskt recept, som gör den
oläslig. Bara den som känner till lösenor-det,
dekrypteringsnyckeln, kan backa ban-det och göra den till klartext
igen.
En av de mest spridda krypteringstekni-
-
38
kerna idag heter PGP, vilket står för Pretty Good Privacy. Den
uppfanns redan år 1991 av programmeraren Phil Zimmerman. Företaget
PGP ägs idag av antivirusjätten Symantec men standarden, som går
un-der namnet OpenPGP, är öppen och fritt tillgänglig för vem som
helst att utveckla produkter kring (se nedan).
PGP bygger på ett system där två nycklar är inblandade: en
publik och en privat. Båda behövs för att kommunikationen ska
funge-ra, men bara den ena behöver hållas hemlig.
För att skicka ett PGP-krypterat med-delande till någon behöver
du först per-sonens publika nyckel. Denna är en serie till synes
slumpmässigt utvalda tecken (se bild). Många som använder PGP
publice-rar sina publika nycklar öppet, till exempel längst ned i
sin mejlsignatur, eller under kontaktfliken på sin sajt eller
blogg. Andra gör sin publika nyckel tillgänglig på en så kallad
nyckelserver. Det är att likna vid en telefonbok, där mängder av
nycklar finns listade efter vem de tillhör. På samma vis måste du
ge din publika nyckel till någon för att den personen ska kunna
mejla dig.
Om du vill vara absolut säker på att den person som kontaktar
dig verkligen är den hen utger sig för att vara så bör du vara noga
med hur du delar ut din publika nyckel. Att bara skicka över den i
ett mejl
Som synes blir ett e-brev oläsligt för obehöriga sedan det
krypterats.
kapitel 6: e-post är som vykort
-
39
anses inte vara tillförlitligt – en person som avlyssnar
kommunikationen kan då skicka krypterade mejl till dig.
Förr i tiden ordnades såkallade PGP-signeringspartyn, där
deltagarna utbytte nycklar med varandra och samtidigt legi-timerade
sig med id-kort. På så sätt kunde alla vara säkra på att personen
de pratade med verkligen var rätt. Om du vill vara ex-tra noga så
kan du bete dig på ett liknan-de sätt – stäm helt enkelt
träff med den du vill mejla säkert med, och lämna över nycklar öga
mot öga.
Nästa steg är att skriva ditt meddelan-de i
krypteringsprogrammet, för att sen kryptera det med mottagarens
publika nyckel. Resultatet, ett sjok till synes oläs-lig text,
klistrar du in i ett vanligt mejl och
skickar till din mottagare. Hen kan sedan dekryptera texten med
sin hjälp av sin pri-vata nyckel.
Din privata nyckel sparas i regel som en fil på din dator. Du
kan även exportera den i textform eller som en fil, för att lagra
den på exempelvis ett USB-minne. För att komma åt den privata
nyckeln används ett lösenord, som du matar in i
krypteringsprogrammet.
PGP anses vara en mycket pålitlig kryp-teringsstandard. Så länge
du väljer ett starkt lösenord till din privata nyckel (se kapitel
2: ”Lösenord och tvåfaktorsinlogg-ning” för mer om bra och dåliga
lösenord) och ser till att hålla den hemlig kan du alltså vara
trygg i att ingen tjuvlyssnar på ditt mejlande.
Men vad händer om en angripare listar
Exempel på en publik PGP-nyckel vilken används som signatur i
e-post.
kapitel 6: e-post är som vykort
-
40
ut mitt lösenord? Då är det givetvis fritt fram för personen,
förutsatt att hen ock-så har tillgång till datorn där din privata
nyckel finns lagrad, att läsa all din kryp-terade e-post. Men så
länge du valt ett ordentligt starkt lösenord är det mycket
osannolikt att så sker.
6.2 Tre enkla krypteringsverktyg Det finns en uppsjö program på
nätet som hjälper dig att komma igång med krypte-ring snabbt och
enkelt. Här är tre alterna-tiv som är värda att titta närmare
på.
säkrare webbmejl med mailvelopeMailvelope är ett enkelt
insticksprogram för dig som använder webbmejl som Gmail eller
Outlook.com. Med det instal-lerat krävs bara ett par
knapptryckningar för att göra dina mejl oläsliga för andra utom
mottagaren. Vissa är skeptiska till att låta ett insticksprogram i
webbläsaren hantera krypteringen, men för webbmejl som Gmail är det
definitivt bättre än ing-en kryptering alls. Mailvelope bygger på
PGP och är mycket smidigt att använda.
Viktigt att komma ihåg är att Mailve-lope bara krypterar
textinnehållet i dina mejl. Vill du även skydda dina bifogade
fi-ler krävs ytterligare mjukvara (läs mer om Truecrypt nedan).
Börja med att installera programmet via www.mailvelope.com. Det
fungerar för både Chrome och Firefox, både till Mac och Windows.
När det är på plats och ak-tiverat i webbläsaren (klicka dig fram
till plugins-fliken i din webbläsare) så kommer du att se en ny
ikon i form av ett hänglås, till höger om webbläsarens
adressfält.
Det första du behöver göra är att skapa din krypteringsnyckel.
Den publika delen måste du ge till mottagaren, för att hen ska
kunna skicka mejl till dig (oroa dig inte för att den hamnar i
orätta händer, den publika nyckeln är till för att spridas öppet).
Den privata nyckeln måste du dä-remot se till att hålla hemlig. Om
någon får tag på den så kan de direkt avkryptera alla hemliga mejl
som skickas till dig.
Klicka på hänglåset, välj “options” och sedan “generate key”.
Fyll i ditt namn och din e-postadress. Istället för lösenord ber
Mailvelope om en “passphrase” – ett råd om att lösenordet ska vara
långt som en hel mening. Följ detta råd!
Klicka sen på ”display keys” så ser du din egen publika nyckel i
listan. Via “Export”-menyn kan du skicka den direkt till din
mottagare.
Dina vänners nycklar lägger du till ge-nom att klicka på “import
keys”.
Nu är du redo att mejla säkert! Logga in
kapitel 6: e-post är som vykort
http://www.mailvelope.com
-
41
på webbmejlen och påbörja ett nytt mejl. Notera den nya
hänglåsknappen i textfäl-tets övre högra hörn. Klicka på den för
att öppna ett specialfönster för kryptering.
Det listiga med detta fönster är att or-den du skriver aldrig
lämnar din egen da-tor. Det finns alltså ingen möjlighet ens för
Google att läsa av texten i okrypterat
tillstånd. Skriv alltså precis som vanligt. När du är klar
klickar du på hänglåset, väljer mottagare (av de vars nycklar du
har importerat) och bekräftar. Vips blir texten obegriplig – ja,
just det – krypterad. Tryck på “Transfer” för att klistra in det i
mejlet, och skicka därefter som vanligt.
Om du får ett krypterat mejl av en vän, klicka då på
hänglås-symbolen som syns över den krypterade texten. Mata in ditt
lösenord och vips – texten förvandlas till läsbart skick igen.
gpgmail – kryptering på den egna macenMailvelope är ett utmärkt
alternativ för webbmejlanvändaren. Men för den som håller fast vid
lokala e-postprogram be-hövs andra alternativ. För dig som kör Mac
är GPGMail ett bra alternativ. Det bygger i grunden på samma
PGP-teknik för att hålla dina meddelanden trygga.
GPGMail är en plugin till Mac OS X in-byggda e-postprogram Mail.
Det ingår i paketet GPG Suite som också innehåller fler
krypteringsverktyg, men här fokuse-rar vi på
e-postkrypteringen.
Ladda hem paketet från www.gp-gtools.org. Installationen behöver
ingen närmare beskrivning, och principen är densamma som för
Mailvelope. Du be-
kapitel 6: e-post är som vykort
Varning! Håll din privata nyckel hemlig – men tappa inte bort
denSäkerheten i PGP hänger helt och fullt på att din privata nyckel
aldrig hamnar i orätta händer. Se där-för till att välja ett starkt
lösenord till den (se kapi-tel 2 för mer information om detta). Se
även till att memorera det i huvudet och ha det inte antecknat på
några papperslappar som ligger framme. Använd aldrig din privata
nyckel, och knappa aldrig in ditt lösenord, på en dator som du inte
vet är fri från av-lyssningsprogram eller annan skadlig kod (till
exem-pel en allmän dator på ett kafé eller ett bibliotek).
Lika viktigt är att inte tappa bort nyckeln. Utan din privata
nyckel är det i praktiken omöjligt att låsa upp information som
krypterats för dig.
http://www.gpgtools.orghttp://www.gpgtools.org
-
42
höver importera dina kontakters publi-ka nycklar och de behöver
importera din publika nyckel innan ni kan kommuni-cera med
varandra.
När programmet är installerat dyker några extra knappar upp i
fönstret där du skriver din e-post. Hänglåset är den viktiga
knappen – precis som i Mailvelope är det den du klickar på för att
förvandla ditt van-liga e-postmeddelande till ett krypterat.
Att ta emot krypterade brev är ännu enklare. Dessutom visar
programmet tyd-ligt att meddelandet skickades på ett sä-kert sätt,
även när det har låsts upp så du kan läsa det.
Till skillnad från Mailvelope kryp-terar även GPGMail dina
bifogade filer. Även dessa är alltså oläsliga för alla utom din
tilltänkta mottagare.
skydda bifogade filer med truecryptMed hjälp av Mailvelope
skyddar du text-innehållet i dina mejl, men inte bifogade filer.
För det behövs andra program, som till exempel Truecrypt.
Truecrypt är ett välkänt krypterings-program som finns för både
PC och Mac. Det kan användas både för att kryptera enskilda filer
eller hela minnesenheter, exempelvis ett USB-minne eller en
hård-
Tips!Mejlkryptering till WindowsEn bra och kostnadsfri lösning
som liknar GPGMail för Mac är GPGWin för dator som använ-der
Windows. Finns att laddas ned från www.gpg4win.org
kapitel 6: e-post är som vykort
disk. Vad gäller enskilda filer kan man, något förenklat, säga
att Truecrypt ska-par en låst behållare i vilken dina filer göms.
Behållaren kan bara öppnas av den med rätt lösenord. Programmet är
gra-tis att använda och kan laddas ned från www.truecrypt.org.
Genom att bifoga en Truecrypt-behål-lare med ett mejl krypterat
med Mail-velope skyddar du alltså både mejlets textinnehåll och
dina bifogade filer från avlyssning.
http://www.gpg4win.orghttp://www.truecrypt.org
-
43
Varning! Din e-postadress syns fortfarande
Genom att kryptera ett mejl skyddar du dess innehåll från
objudna gäster. Däremot visas fort-farande din egen adress och
mottagarens adress (samt en hel del annan information som till
exempel vilken tid och vilket datum mejlet skickades) öppet. Sådana
uppgifter brukar kallas för metadata, och är i de flesta fall
mindre viktiga att skydda än mejlets själva textinnehåll. Men för
dig som är mån även om att skydda din och mottagarens identiteter
är det viktigt att känna till.
Ett enkelt sätt att komma runt problemet är att kombinera
kryptering med anonyma och temporära mejladresser. Är du riktigt
mån om både din och mottagarens anonymitet, be hen göra det
samma.
kapitel 6: e-post är som vykort
Grundprincipen med Truecrypt är en-kel: Du använder programmet
dels för att skapa krypterade behållare, men också för att öppna de
som skickas till dig. Var-je behållare skyddas av ett lösenord som
behövs för att öppna den. Vill du skicka någon en
Truecrypt-behållare måste du alltså även skicka personen rätt
lösenord (ett smidigt sätt är att göra detta i form
av ett krypterat mejl. På så vis förhindrar du att lösenordet
snappas upp av någon annan på vägen).
I praktiken kan Truecrypt vara ett gan-ska knepigt program att
använda. En ut-märkt nybörjarguide finns på
http://www.truecrypt.org/docs/tutorial. Den beskri-ver steg för
steg hur du går till väga för att skapa en krypterad behållare.
http://www.truecrypt.org/docs/tutorialhttp://www.truecrypt.org/docs/tutorial
-
44
Det har varit svårt att undgå rapporteringen om amerikanska
NSA:s massavlyssning av e-post och internettrafik. Hösten 2013
avslö-jades dessutom, med stöd i dokument från visselblåsaren
Edward Snowden, att de ame-rikanska och brittiska
underrättelsetjänsterna lyckats knäcka flera av de mest använda
kryp-teringsformerna på nätet.
Varför, kanske du undrar, ska man då ens bry sig om att försöka
mejla säkert, när hem-liga agenter ändå kan läsa allt?
För det första: Att regeringar kan avlyssna allt som sägs på
nätet är en sanning med mo-difikation. Edward Snowdens uppgifter om
knäckta krypteringstekniker påstår, något förenklat, tre saker.
Amerikanska NSA har lyckats ta sig förbi den standard som gäller
för krypterad trafik över nätet (den teknik som är aktiv när du ser
ett litet hänglås i webbläsarens adressfönster, och som till
exempel används när du köper någonting med ditt bankkort hos en
e-handlare). Man har dessutom lyckats påverka internationella
krypteringsstandar-